渗透测试之地基内网篇：域森林中权限提升（上） – 作者:dayuxiyou

系列文章

专辑：渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基，加强每日训练操作的笔记，在记录地基笔记中会有很多跳跃性思维的操作和方式方法，望大家能共同加油学到东西。

请注意：

本文仅用于技术讨论与研究，对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，本站及作者概不负责。

名言：

你对这行的兴趣，决定你在这行的成就！

一、前言

渗透测试人员需谨记《网络安全法》，根据《网络安全法》所示，未经授权的渗透测试都是不合法的，不管是出于何种目的。红队渗透人员在进行渗透期间，渗透测试的行为和项目必须在被渗透方授予权限可渗透后，才可进行渗透测试操作。

如今有一家dayu公司，需要对自己的业务以及整体的内网框架体系进行隐患挖掘，授予权限我进行对dayu公司的渗透测试操作，在签署了双方的《渗透测试授权书》后，我开始了对dayu公司的渗透之旅。

跳开思维讲，我此篇内容是内网渗透篇章，通过我的专栏：

社工钓鱼 -> 免杀过全杀软 -> 内网渗透

那么我通过了社工钓鱼的各种方式，将钓鱼文件进行免杀后，成功钓鱼到了该公司外围人员计算机，并控制了该计算机权限获得shell，并成功登录对方电脑。

通过前期对域用户大量的信息收集，画出了相对应的简单网络拓扑图，下一步需要进攻子域控制器，思路如下：

域普通用户 -> 子域控制器 -> 父域控制器 ->辅域控制器

通过该思路进攻即可，还有另外一条思路：

域普通用户 -> 10.10.21.0/24二级区域 -> 继续延伸

渗透人员最爱系统之一有kali，还有各类windows集成的武器库系统，通过上期隐藏通信隧道技术已经在内网域森林中建立了一级隧道，今天我们就来对子域控制器进行提权，总结实战中会遇到的权限提升的各种方法，利用这些方法在内网中遨游！

不会权限提升技术，就无法对内网机器进行进一步的渗透！！

二、环境介绍

目前信息收集获得的网络情况：（模拟环境）
拓扑图简介

为了更好的演示接下来的渗透和回看总拓扑图公司搭建环境情况：

单篇：渗透测试之地基内网篇：域森林中父子域和辅域用户搭建分析

接下来将演示分析内网中的权限提升各种方法，利用该方法在域森林中旅行！

三、MSF-永恒之蓝

在信息收集阶段，已知子域控xiyou.dayu.com存活，那么实战内网最经典的漏洞就是永恒之蓝。

在2017年4月，轰动网络安全界的事件无疑是TheShadowBrokers放出的一大批美国国家安全局(NSA)方程式组织( Equation Group )使用的极具破坏力的黑客工具，其中包括可以远程攻破约70%的Windows服务器的漏洞利用工具。一夜之间，全世界70%的Wndows服务器处于危险之中，国内使用Windows服务器的高校、企业甚至政府机构都不能幸免。这无疑是互联网的一次“大地震”，因为已经很久没有出现过像“永恒之蓝”(MS17-010) 这种级别的漏洞了。

Mtsploit是当今安全专业人员免费提供的最有用的审计工具之一！新版本的Mtsploit已经集成了MS17-010漏洞的测试模块，接下来将利用该工具进行内网最初提权！

通过上一期《域森林中多级域通信隧道（下）》建立了Frp内网隧道代理。

1、MSF基础认知

该图是Metasploit 体系结构，了解后可知MSF框架可利用外部安全工具配合内部插件链接基础库文件，基础库文件有生成后门shell的功能程序和开启MSF功能的接口

2、MSF文件系统

通过Kali可以查看到12种相关永恒之蓝（MS17-010）的漏洞详情，其中利用的模块也详细介绍到XP~2008R2范围内系统存在该漏洞，目前攻击的子域控制器在信息收集后还不清楚是什么系统，那么就来尝试下进攻的旅行感！

3、进攻子域控制器

1）MSF挂载代理

setg Proxies socks5:192.168.253.11:7777
setg ReverseAllowProxy true

MSF自带挂载代理功能，只需要执行两条命令即可将VPS上建立的隧道代理通道挂载到Kali-MSF上进行横向渗透！

2）MSF横向渗透

目前挂载好代理后，Kali-MSF就可以对域森林进行横向渗透了，开始！

search ms17-010

查询ms17-010存在的EXP类型，先利用auxiliary对子域控制器进行探测：

use auxiliary/scanner/smb/smb_ms17_010

填入RHOSTS攻击方子域控制器的IP地址：
run执行后auxiliary脚本通过隧道对域森林中子域控制器进行了扫描，发现VULNERABLE（存在漏洞），以及子域控制器的系统为：Windows Server 2016 Standard 14393 x64 (64-bit)！！

经过前面对MS17-010的了解，XP~2008R2范围内系统存在该漏洞，win 2016是不存在的！尝试攻击看看！

3）探测攻击

use exploit/windows/smb/ms17_010_eternalblue

利用exploit脚本进行攻击，填入攻击的IP开启攻击：
通过现场模拟，发现子域控制器蓝屏了！！

所以在扫描发现windows2016系统版本后，不应该进行继续的进攻了，进攻只会导致蓝屏现象！域控蓝屏会导致整个子域用户环境影响工作！动静非常大，那么接下来利用另外一种方法拿下子域控制器！

4、成功拿下域控

通过前面发现直接exp攻击windows 2016是不可行的，但在auxiliary脚本扫描结果是VULNERABLE存在漏洞行为，那么怎么攻击呢？永恒之蓝还有另外一种攻击方式，command方式，就是获得对方的CMD终端交互权限！开始！

1）ms17_010_command查询

search admin/smb

可看到存在一个探测利用脚本：auxiliary/admin/smb/ms17_010_command，该exp脚本属于command命令输入模式，运行！

2）ms17_010_command攻击

use auxiliary/admin/smb/ms17_010_command

set输入域控IP和command交互Ipconfig命令后执行run，利用成功，可看到ipconfig输入后回显出了子域控制器的IP情况，和信息收集到的情况一样！

那么com

来源：freebuf.com 2021-04-08 11:51:14 by: dayuxiyou